cybersecurityawareness

Cybersecurity Awareness

Cybersecurity Awareness สำคัญอย่างไร? ทำไมทุกองค์กรควรต้องมีในยุคดิจิทัล

Leave a Comment / securityawareness /

ในปัจจุบัน การเปลี่ยนผ่านสู่ยุคดิจิทัล หรือ Digital Transformation นั้น คือสิ่งจำเป็นที่ทุกองค์กรไม่ว่าจะอยู่ในอุตสาหกรรมไหน “ต้อง” ทำ ไม่ใช่ “ควร” ทำอีกต่อไป ด้วยพฤติกรรมของคนในสังคมที่มีการพึ่งพาเทคโนโลยีอยู่เสมอจนกลายเป็นสิ่งที่ขาดไปไม่ได้ในชีวิตประจำวัน ทำให้องค์กรต่าง ๆ ต้องพัฒนาและปรับเปลี่ยนเพื่อให้เท่าทันต่อยุคดิจิทัลนี้ไปด้วย เมื่อมีการพัฒนาเทคโนโลยีดิจิทัลที่มากขึ้น แน่นอนว่ามันก็เพิ่มความเสี่ยงต่อการถูกโจมตีทางไซเบอร์โดยอาชญากรผู้ไม่หวังดีเช่นกัน แล้วเราจะทำอย่างไรเพื่อป้องกันภัยคุกคามเหล่านี้ในวันที่ทุกอย่างล้วนเข้าสู่ยุคดิจิทัลแทบทั้งหมด? พวกเรา SECAP ได้หาคำตอบของคำถามนี้ไว้ให้แล้วในบทความนี้ Attack Surface ช่องโหว่ทางไซเบอร์ที่องค์กรต้องระวัง การโจมตีทางไซเบอร์เริ่มต้นขึ้นจากการที่ผู้โจมตีมองหาช่องโหว่หรือจุดบอดในระบบความปลอดภัยขององค์กร เพื่อทำการโจมตีเข้าสู่ระบบขององค์กรต่อไป โดยช่องโหว่เหล่านี้มีชื่อเรียกอีกชื่อก็คือ Attack Surface หรือพื้นที่ที่สามารถถูกโจมตีทางไซเบอร์ได้นั่นเอง Attack Surface คือช่องโหว่ทางไซเบอร์ในระบบการรักษาความปลอดภัยขององค์กร ซึ่งช่องโหว่เหล่านี้จะกลายมาเป็นช่องทางให้เหล่าผู้ไม่ประสงค์ดีนำมาใช้เป็นช่องทางในการโจมตีทางไซเบอร์ โดย Attack Surface ดังกล่าวอาจแบ่งตามลักษณะได้ออกเป็น 2 ประเภท Physical Attack Surfaces Physical Attack Surfaces คือ Attack Surface ที่อยู่ในรูปแบบกายภาพ เช่น อุปกรณ์คอมพิวเตอร์ โทรศัพท์มือถือ ฮาร์ดไดร์ฟ […]

Cybersecurity Awareness สำคัญอย่างไร? ทำไมทุกองค์กรควรต้องมีในยุคดิจิทัล Read More »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

Leave a Comment / securityawareness /

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ ไม่มีแผนการรับรู้ด้านความปลอดภัยที่ชัดเจน: สิ่งสำคัญคือต้องมีแผนที่ชัดเจนสำหรับวิธีการให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยและวิธีจัดการกับภัยคุกคามด้านความปลอดภัยว่ามีหัวข้ออะไรที่จำเป็นและลดความเสี่ยงขององค์กรได้ ไม่มีการฝึกอบรมและการสื่อสารอย่างต่อเนื่อง: การตระหนักรู้ถึงความปลอดภัยไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว และเป็นสิ่งสำคัญที่จะต้องจัดให้มีการฝึกอบรมและการสื่อสารอย่างต่อเนื่องเพื่อให้พนักงานได้รับข้อมูลล่าสุดเกี่ยวกับภัยคุกคามล่าสุดและแนวทางปฏิบัติที่ดีที่สุด การไม่ให้พนักงานทุกคนมีส่วนร่วม: พนักงานทุกคนตั้งแต่ผู้บริหารระดับสูงไปจนถึงพนักงานระดับเริ่มต้น ควรรวมอยู่ในความพยายามในการตระหนักถึงความปลอดภัยและสื่อสารให้ชัดเจนว่าพนักงานทุกคนคือส่วนสำคัญในการปกป้องภัยคุกคามทางไซเบอร์ให้องค์กรไม่ใช่แค่หน้าที่ของฝ่ายเทคโนโลยีสารสนเทศ ไม่ปรับการฝึกอบรมให้เหมาะกับพนักงานกลุ่มต่างๆ: พนักงานแต่ละกลุ่มอาจมีความต้องการและข้อกังวลด้านความปลอดภัยที่แตกต่างกัน ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องปรับแต่งการฝึกอบรมให้ตรงกับความต้องการเฉพาะของแต่ละกลุ่มที่อาจมีการทำงานที่แตกต่างกัน ไม่จัดเตรียมทรัพยากรและเครื่องมือสำหรับพนักงาน: การจัดหาทรัพยากรและเครื่องมือที่จำเป็นสำหรับพนักงานเพื่อให้มีความปลอดภัย เช่น ตัวจัดการรหัสผ่านและซอฟต์แวร์ป้องกันไวรัส สามารถช่วยปรับปรุงการรับรู้ด้านความปลอดภัยได้ ไม่รักษาโปรแกรมการฝึกอบรมให้เป็นปัจจุบัน: สิ่งสำคัญคือต้องอัปเดตโปรแกรมการฝึกอบรมเป็นประจำเพื่อให้สอดคล้องกับภัยคุกคามด้านความปลอดภัยล่าสุดและแนวทางปฏิบัติที่ดีที่สุด ไม่วัดประสิทธิผลของโปรแกรมการฝึกอบรม: สิ่งสำคัญคือต้องประเมินประสิทธิผลของโปรแกรมการฝึกอบรมเป็นประจำเพื่อให้แน่ใจว่าบรรลุเป้าหมาย ไม่ให้สิ่งจูงใจแก่พนักงานในการเข้าร่วมการฝึกอบรม: การให้สิ่งจูงใจ เช่น รางวัลหรือการยอมรับ สามารถช่วยเพิ่มการมีส่วนร่วมของพนักงานในการฝึกอบรมความตระหนักด้านความปลอดภัย ไม่มีระบบสำหรับรายงานเหตุการณ์ด้านความปลอดภัย: สิ่งสำคัญคือต้องมีระบบสำหรับพนักงานในการรายงานเหตุการณ์ด้านความปลอดภัยเพื่อให้สามารถแก้ไขได้ทันท่วงที ไม่มีกระบวนการในการจัดการและตอบสนองต่อการละเมิดความปลอดภัย: สิ่งสำคัญคือต้องมีกระบวนการในการจัดการและตอบสนองต่อการละเมิดความปลอดภัยเพื่อลดความเสียหายและกู้คืนให้เร็วที่สุด

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​ Read More »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

Leave a Comment / PDPA Awareness Series /

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้ ปลอดภัยจนกลายเป็นวัฒนธรรมในองค์กร เราจึงแนะนำให้องค์กรคุณทำ PDPA Awareness ด้วยระบบ E-Learning เพื่อให้องค์กรสามารถสื่อสารเนื้อหาความรู้ได้สม่ำเสมอ และพนักงานก็สามารถจัดสรรเวลาในการเรียนด้วยตัวเองได้เต็มเวลา หรือย้อนกลับมาเรียน ซ้ำทบทวนความเข้าใจตนเองอีกครั้ง โดยไม่กระทบหน้าที่ภาระงานของพนักงานแต่ละคน แล้วแบบนี้ คุณควรจัดทำ PDPA Awareness ด้วยตัวเอง หรือควรจ้าง Outsource ที่มีความเชี่ยวชาญ PDPA โดยเฉพาะเข้ามาช่วยดูแล บทความนี้จะช่วยคุณหาคำตอบเองค่ะ ถ้าองค์กรทำ PDPA awareness training ด้วยตัวเอง การทำ PDPA Awareness

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ? Read More »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

Leave a Comment / PDPA Awareness Series /

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓   องค์กรต้องเริ่ม ทำ PDPA Awareness จากจุดไหนให้มีประสิทธิภาพมากที่สุด Step 1 : กำหนดพนักงานกลุ่มเป้าหมาย และจัดเตรียมข้อมูลที่ใช้สื่อสาร คุณต้องกำหนดกลุ่มเป้าหมายพนักงานที่ต้องการสื่อสาร โดยเฉพาะกลุ่มพนักงานที่มีการเก็บ ใช้ข้อมูลส่วนบุคคล เช่น กลุ่มพนักงานทำการตลาด หรือกลุ่มพนักงานบริการลูกค้า เป็นต้น จากนั้นเตรียมเนื้อหาที่จำเป็นต้องสื่อสารให้พนักงานเข้าใจว่าทำไมองค์กรต้องปฏิบัติตาม PDPA เพื่อให้พนักงาน เห็นถึงความสำคัญของข้อมูลส่วนบุคคล และเริ่มสร้างความปลอดภัยต่อข้อมูลส่วนบุคคลที่องค์กรจัดเก็บ สาระสำคัญที่พนักงานควรรู้ของการ ทำ PDPA Awareness คุณต้องอธิบายความสำคัญ และบทบาทของกฎหมาย PDPA ที่มีผลต่อองค์กรให้พนักงานเข้าใจบทบาท

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง Read More »

PDPA Awareness for employees คืออะไร?

Leave a Comment / PDPA Awareness Series /

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness สำหรับพนักงานจึงเป็นเรื่องที่องค์กรทั้งหลายต้องมีการจัดทำตลอดทุก 6 เดือนหรือ 1 ปี เพื่อให้พนักงานบริษัทที่คุณรักได้รู้จัก เข้าใจ และพร้อมรับมือต่อภัยร้ายทางไซเบอร์ที่อาจบุกรุกเข้ามาล้วงข้อมูลส่วนบุคคลขององค์กรที่จัดเก็บไว้ไปเผยแพร่บน Dark web ซึ่งส่งผลกระทบด้านชื่อเสียงในเรื่องของความปลอดภัย และความน่าเชื่อถือของแต่ละองค์กรได้ ก่อนทำ PDPA for employees ต้องเข้าใจ 3 เสาหลักแห่ง Security Awareness กันก่อน การสร้างความตระหนักในเรื่องของการรักษาความปลอดภัยด้านไซเบอร์นั้นเป็นเรื่องสำคัญที่องค์กรต้องให้ความใส่ใจดูแล ซึ่งแนวคิดที่จะตอบโจทย์การทำ Security Awareness สำหรับ PDPA นั้นต้องครบคลุมทั้งตัว “เทคโนโลยี”

PDPA Awareness for employees คืออะไร? Read More »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

Leave a Comment / PDPA Awareness Series /

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ และยกระดับความปลอดภัยในด้านการรักษาข้อมูลส่วนบุคคลขององค์กรได้ เมื่อเข้าใจคอนเซ็ปต์ของการตระหนักรู้ทางด้านข้อมูลส่วนบุคคล และภัยอันตรายจากไซเบอร์แล้ว ต่อไปเราจะมาดูข้อดี และข้อเสียของการสร้างความตระหนักรู้ในข้อมูลส่วนบุคคล และภัยอันตรายจากไซเบอร์เพื่อที่จะช่วยให้องค์กรที่กำลังอ่านได้มีการจัดทำเพื่อประโยชน์ขององค์กรในระยะยาว ซึ่งจะมีอะไรบ้างนั้นติดตามกันได้ในบทความนี้ ข้อดีของ PDPA Security Awareness • องค์กรช่วยรับผิดชอบต่อสังคมด้วยการปฏิบัติถูกต้องตามกฎหมาย อย่างที่หลายคนทราบกันดีถึงข้อบังคับของกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ที่สรุปได้ใจความว่า “องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีการอบรมlสร้างความตระหนักในข้อมูลส่วนบุคคลให้แก่พนักงานทุกภาคส่วนในบริษัท” และกฎหมายพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562  ที่ระบุไว้ด้วยว่า “ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์” ดังนั้นองค์กรในประเทศไทยต้องมีการทำทั้งข้อมูลส่วนบุคคล และความปลอดภัยด้านไซเบอร์ควบคู่กันไปเพื่อรองรับกฎหมายทั้งสองฉบับตามที่กล่าวไว้ในข้างต้นศึกษาเกี่ยวกับข้อกฎหมายเพิ่มเติมได้ที่ สร้าง Cybersecurity

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?! Read More »

รู้จัก PDPA Awareness และ Security Awareness

Leave a Comment / PDPA Awareness Series /

ในปีพ.ศ. 2565 นี้ สังคมไทยกำลังก้าวเข้าสู่สังคมแห่งความปลอดภัยทางด้านไซเบอร์มากขึ้น ด้วยการบังคับใช้กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ควบคู่กับกฎหมายไซเบอร์ที่มีมาก่อนหน้านี้อย่าง พ.ร.บ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกฎหมายทั้งสองก่อให้เกิด PDPA Awareness และ Security Awareness ซึ่งจะมีความสำคัญต่อองค์กรอย่างไรนั้น วันนี้เราจะพาทุกท่านมาหาคำตอบกันในบทความนี้ กฎหมายด้านไซเบอร์ที่เกี่ยวข้อง ก่อนที่จะเริ่มรู้จักการสร้างความตระหนักในข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์ทุกคนต้องรู้จักกฎหมายที่เกี่ยวข้องกับทั้งสองก่อน ซึ่งได้แก่ กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และให้สิทธิ์แก่เจ้าของข้อมูลส่วนบุคคล รวมไปถึงการสร้างมาตรฐานของสังคมไทยในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถ้าผู้ใดไม่ปฏิบัติตามกฎหมายฉบับนี้ ย่อมได้รับโทษทั้งทางแพ่ง ทางอาญา หรือทางปกครอง ในรูปแบบจำคุก ปรับ และทั้งจำทั้งปรับ โดยกฎหมายฉบับนี้มีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2565 ซึ่งเมื่อมีผลบังคับใช้จะช่วยส่งเสริมให้เกิดความตระหนักรู้ในข้อมูลส่วนบุคคคลมากยิ่งขึ้นในสังคมไทย ผู้ที่สนใจสามารถอ่านกฎหมายฉบับเต็ม สามารถอ่านได้ที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 นิยมเรียกกันสั้น ๆ

รู้จัก PDPA Awareness และ Security Awareness Read More »